Как сообществам работать безопасно и сообща
Маленький путеводитель по самому необходимому для вашего спокойствия и продуктивности — от новых цифровых сервисов до практик XIX века
Мы продолжаем проект о самоорганизации «Вокруг горизонтали» этим текстом об инструментах и практиках, которые помогут горизонтальным сообществам в России организовать свою работу максимально безопасно.
Таких инструментов очень много. Скажем, проект «Теплица социальных технологий» работает как раз на стыке гражданского общества и IT, он занимается не только подробным мониторингом нового инструментария, но иногда и его собственным производством.
По просьбе Кольты Александр Семенов вместе с социологом техники и специалистом по цифровой безопасности Ксенией Ермошиной выбрал из богатого ассортимента возможностей только самое основное, про что хорошо бы не забывать тем комьюнити, которые продолжают работать в стране, особенно в политически рискованных сферах.
Перед вами небольшой путеводитель по такой мастерской.
Редакции Кольты по-прежнему (и сейчас особенно) нужна ваша помощь. Поддержать работу сайта можно вот здесь.
Прежде всего, исследовательница цифровой безопасности Ксения Ермошина напоминает: вам нужно определиться с приоритетами. Чтобы выбрать инструменты защиты, нужно понять, какие риски грозят именно вашему сообществу. Например, у тех, кто работает на протестных акциях, при задержании могут изъять телефон или фотоаппарат с картой памяти. Тут нужно помнить в первую очередь о физической безопасности ваших гаджетов.
«Совершенно другой пример — это медиаорганизация, которая занимается сбором данных, — говорит Ермошина. — Например, доказательствами коррупционных преступлений. Здесь важнее для вас будет угроза взлома ваших аккаунтов, так что вам нужно внимательно отнестись к мерам по их неприкосновенности».
Как защитить личный девайс
Начнем с самого азбучного, простого. При задержании или в толпе на митинге ваш телефон или ноут могут банально разбить. Будет очень обидно потерять рабочий инструмент, особенно если он стоит круглую сумму, которую можно было бы направить на работу сообщества. Поэтому не забудьте подобрать для гаджетов подходящие чехлы.
В опасные места и времена вообще не стоит брать с собой основное устройство. Тут поможет так называемый полевой телефон. Это никак не связанный с вами девайс, который используется только в определенных ситуациях. Например, недорогой смартфон с SIM-картой, оформленной на постороннего человека. Просто поменять «симку» недостаточно: уникальный номер вашего гаджета (IMEI) уже связан с основной «симкой». И силовики легко смогут вас идентифицировать.
Следующий шаг: стоит заранее позаботиться о том, чтобы никто не смог посмотреть содержимое вашего устройства. Разумеется, гаджет нужно защитить как минимум паролем или PIN-кодом. «Роскомсвобода» (организация признана иностранным агентом на территории РФ. — Ред. ) напоминает, что пароль должен быть максимально сложным, уникальным и не содержать личных данных. Здесь можно научиться придумывать хорошие пароли.
Но даже из гаджета с паролем можно вытащить все что угодно — напрямую с накопителя. Чтобы не допустить этого, вам стоит использовать инструменты для шифрования.
Здесь все зависит от вашей операционной системы — например, на устройствах Apple есть встроенный и достаточно простой шифровальщик (вот инструкция от производителя). Для Windows тоже есть инструмент шифрования — BitLocker, но он функционирует только в профессиональной, то есть платной, версии Windows.
Поэтому, советует Ермошина, лучше переходить на какой-то дистрибутив Linux, например, Ubuntu. У этой операционной системы, как и macOS, есть встроенные инструменты шифрования, при этом она абсолютно бесплатна и работает на устройствах любых производителей.
Кроме того, есть кросс-платформенная и надежная программа VeraCrypt, которая позволяет шифровать ваши файлы, папки и диски. Но она относительно сложна, и лучше, чтобы ее контролировали дружественные вам спецы и эксперты в сфере IT.
Более простые программы для шифрования — это Picocrypt или доступная в браузере Hat.sh: они позволяют быстро зашифровать именно отдельные файлы.
Но лучший способ защитить ваши данные — это полностью их удалять с «железа». Это стоит делать перед любыми опасными ситуациями, например переходом границы, накануне или после любых акций.
«Единственное, о чем нужно помнить, — после чистки ваше устройство должно выглядеть правдоподобно, — напоминает Ермошина. — Вы чистите все важное, но оставляете книжки, фотографии вашей семьи, что-то должно все равно быть. Иначе будет выглядеть странно, если у вас совсем чистый компьютер».
Но как удалять все нужное, если оно нужно? Тут переходим к пункту два.
Где хранить необходимое для работы
Итак, если в случае опасности (обыск, задержание, досмотр на границе) вы хотите быстро почистить свое устройство, но ничего при этом не потерять, то понятно, что лучше хранить файлы в облаке. К тому же это позволяет наладить совместную работу в сообществе, поскольку данные будут доступны всем членам команды.
Облако — хорошо, но какое?
Пользоваться сервисами от российских разработчиков вроде «Яндекс.Диска» и «Облака» Mail.ru может быть небезопасно. Эксперты Ranking Digital Rights отмечали, что эти компании не предоставляют достаточно информации о своей политике пользовательских данных и о реакции на запросы властей. Кроме того, из российских сервисов в последнее время данные вообще часто утекают.
Приемлемым решением может стать Google-диск, но с ним несколько проблем. Все пользователи Google-сервисов знают, что с началом «специальной военной операции» место в хранилище нельзя оплатить с российских карт.
Кроме того, к аккаунту Google будет привязана ваша электронная почта, а ее потенциально можно взломать. Поэтому лучше вообще избегать объединения личных аккаунтов и тех, которые вы используете для работы. Так что если вы решите в рамках вашего сообщества воспользоваться Google-диском, то стоит завести для него отдельный аккаунт.
Другим выходом может стать облачный сервис Nextcloud — по функционалу он похож на известный Dropbox. Для его работы нужен безопасный сервер, на котором будет размещаться ваше хранилище. Но настройка собственного сервера — дело трудоемкое, а без IT-специалистов вообще малоосуществимое. Поэтому можно обратиться за помощью, например, к «Теплице социальных технологий», которая готова помогать с этим разным НКО.
«Существуют хостинги для Nextcloud, за которыми стоят, например, коллективы европейских активистов, — рассказывает Ксения Ермошина. — За донат или вообще забесплатно они готовы предоставить для коллег пространство для хранения данных».
Как скрыть вашу работу от ненужных глаз
При работе с облаком нужно соблюдать дополнительные меры предосторожности. Интернет-провайдер может видеть, что вы подключаетесь к определенному IP-адресу и загружаете туда крупные файлы. А по «пакету Яровой» провайдеры обязаны хранить данные о вашем трафике и передавать их силовикам по их запросу. Поэтому IP облака можно будет вычислить. А значит, нацелиться на его взлом.
Так что для работы с общими облаками для вашего комьюнити лучше всегда использовать VPN, который позволяет скрыть ваш трафик от провайдера и обеспечить относительную безопасность.
VPN подходит тоже не всякий. «Роскомсвобода» напоминает, что информацию о ваших подключениях видит VPN-провайдер, поэтому к его выбору лучше подходить ответственно. Проект не советует использовать бесплатные сервисы — есть сведения о том, что они продают данные о пользовательском трафике. Хотя, например, у известного и одобренного «Роскомсвободой» сервиса Proton VPN есть бесплатная версия для одного устройства. Но этого мало.
«Люди, которые продолжают работать в России, должны сделать так, чтобы у них был платный VPN. А лучше два, а лучше три, — считает Ксения. — И выходить в интернет для работы в сообществах нужно только под VPN. Сегодня с сервера в Норвегии, завтра во Франции, послезавтра в Германии».
Необходимость иметь несколько VPN связана с тем, что Роскомнадзор «тратит очень много денег» на анализ их структуры и борьбу с ними. Например, протокол WireGuard уже «работает хуже», говорит Ермошина. Сообщения о блокировках VPN в России поступают регулярно.
Чтобы не переживать за блокировку чужих сервисов, можно создать свой собственный VPN. Для этого потребуется чуть больше усилий, чем просто оплатить тариф и скачать клиент, но все та же «Теплица» сделала инструкцию по настройке своего сервера на Outline. Есть и другие варианты.
Есть еще более безопасный способ для серфинга в сети — браузер Tor. Он, как считается, обеспечивает большую анонимность, чем VPN. Принцип работы Tor в том, что он передает ваш трафик в зашифрованном виде и через несколько узлов, то есть его след теряется. Но есть два минуса. Tor довольно медленный. Плюс, например, использовать любые приложения приходится только в их веб-версиях через Tor, иначе трафик не зашифруется. Но веб-версии есть не у всех приложений и не всегда, и это замедляет работу.
Как безопасно общаться в общих чатах и группах
Главное средство кооперации горизонтальных сообществ — это мессенджеры. Но их необдуманное использование тоже небезопасно. Например, Telegram, популярный для коммуникации самоорганизованных объединений, безопасным считать нельзя.
«Когда я звоню в Телеграме, я вижу какие-то эмодзи, которые обещают, что нет никаких людей посредине, перехватывающих наш звонок, — рассказывает Ермошина. — Но исходный код Телеграма не до конца открытый, и я не могу ему доверять на все сто процентов».
Переписка в Telegram не шифруется по умолчанию и хранится на серверах мессенджера. Для личных сообщений можно использовать «секретные» чаты, но для групповых чатов такой функции нет, и все хранится на серверах Telegram. Что там с ними происходит и кому их передают (или не передают), никто не знает. Но известно, например, что Telegram соглашался работать с ФСБ по делам о терроризме. И обещал публиковать отчеты о сотрудничестве с органами раз в полгода. С 2018 года не опубликован ни один.
Чуть лучше обстоят дела в мессенджере Signal, который считается образцом безопасности, и, как ни странно, в WhatsApp: и там, и там сообщения шифруются по умолчанию. Но при этом метаданные (кто, кому и когда писал) хранятся тоже на серверах мессенджеров, а аккаунты привязаны к телефонным номерам.
Поэтому лучше использовать децентрализованные мессенджеры, которые, во-первых, не хранят данные на собственных серверах, во-вторых, не требуют при регистрации номеров ваших мобильных, но позволяют при этом организовать вполне эффективную совместную работу. Ермошина рекомендует Element и Delta Chat: для регистрации в них не нужно ничего, кроме адреса электронной почты. Его, кстати, можно завести на анонимном Proton Mail.
Проблема в том, что Telegram очень популярен в России, и «перетащить» туда всех членов команды может быть сложно. Поэтому несколько советов, как сделать его более безопасным.
Во-первых, скрыть номер телефона для просмотра. Во-вторых, в групповых чатах не пользоваться тем же никнеймом, которым вы пользуетесь в публичных соцсетях. В-третьих, включить двухфакторную аутентификацию. В Telegram для этого вы устанавливаете пароль, который нужно вводить при входе в аккаунт с нового устройства. Так рекомендует сделать даже Минцифры России, и тут с ним сложно не согласиться.
Двухфакторная аутентификация — вообще полезная вещь. Но только не через SMS, потому что они не защищены от вездесущей государственной системы обеспечения оперативно-розыскных мероприятий (СОРМ). А число запросов силовиков в суды на доступ к переписке только растет, как еще в прошлом году писал РБК. Кроме того, появлялись доказательства того, что SMS-коды можно перехватить.
Поэтому для двухфакторной аутентификации лучше использовать приложения вроде Google Authenticator. Его можно привязать к аккаунтам в разных сервисах, и при входе в них аутентификатор будет показывать вам коды, которые нужно вводить после пароля. Такие коды хранятся только на вашем смартфоне, поэтому восстановить их можно исключительно с помощью специальных цифровых комбинаций. Их стоит сохранить в надежном месте, например на бумаге.
Как сделать удобнее общую работу
У горизонтальных сообществ много задач, и для этого есть инструменты, которые сильно облегчают жизнь. Многие из них опять-таки сделала неутомимая «Теплица» (этот текст выглядит как реклама наших коллег, но это не она )).
Например, вам нужно быстро и просто собрать сайт, а на специалистов нет ресурсов. На ум приходит Tilda, но с ней есть проблемы. Платформа жестко выполняет требования Роскомнадзора (по которым блокируют все что угодно) и даже отключает аккаунты. Еще в 2020 году Tilda заявляла, что на ней нельзя делать сайты с «политическим контентом».
Поэтому, возможно, стоит немного разобраться с тем, как запустить сайт на WordPress. А сверстать его при помощи конструктора.
При запуске рассылки для читателей и доноров вас может затянуть в сторону сложных и дорогих сервисов, чьи письма вечно попадают в спам. Но если вам достаточно пока 300 писем в день, то этих проблем можно избежать (с помощью экспертов «Теплицы»).
Нужна карта, на которой пользователи смогут что-то отмечать? Для этого есть плагин. Нужен чат-бот, чтобы работать с целевыми группами или потенциальными участниками сообщества? Решение есть, но чуть более сложное.
А еще Google запустил приличный инструмент для расшифровки аудио (проверено при написании этого материала) и перепечатки текста с pdf и картинок. Нужно только заполнить небольшую анкету, но с той стороны ее, кажется, никто не верифицирует.
Это только малая часть инструментов для тех, кто объединился, чтобы помогать другим и говорить правду. Но все-таки самым значимым риском для работающих в России остается угроза безопасности.
Как вести календарь по лекалам анархистов XIX века
Правильный баланс между безопасностью и эффективностью — одна из проблем самоорганизованных сообществ, рассказывает Ксения Ермошина. Конечно, безопасность важна, но как сообществам обойтись без простых инструментов вроде общих цифровых календарей? А они ведь могут тоже стать источником информации о группах, которой вы не слишком хотите делиться с властями.
Чтобы нивелировать проблемы уязвимости календарей, можно использовать старую методику и шифровать информацию не математически, а используя «код», известный только участникам вашей организации. Например, какую-то встречу можно записать в общем календаре как «стоматолога». По словам Ермошиной, «это практики, которые использовали, например, российские анархисты в XIX веке до появления современных средств криптографии».
Не стоит недооценивать и «человеческий фактор» — например, проверять людей, которых вы допускаете до рискованных сведений. Например, в Беларуси из-за недостаточного внимания в оппозиционном канале по деанонимизации силовиков 10 месяцев работал сотрудник политической полиции. Чтобы этого избежать, не бойтесь задавать вопросы тем, кто интересуется вашими мероприятиями или хочет присоединиться к сообществу. А еще можно воспользоваться инструментами разведки по открытым данным (OSINT) — теми, что в ходу у журналистов-расследователей. Но это тема для отдельного разговора.
Если строить свою стратегию безопасности только вокруг дигитальных инструментов, можно забыть самые элементарные навыки, говорит Ксения Ермошина: «Например, я думаю, я установила себе хороший VPN, Signal, почту на Proton. И всё, теперь я могу свободно обсуждать все наши акции. При этом, когда я работаю в кафе и выхожу в туалет, я оставляю компьютер на столе включенным. А это очевидная угроза».
Поэтому стоит, например, установить видеокамеры в месте встречи членов сообщества, чтобы иметь возможность посмотреть, кто был там до или после вас. Или обзавестись надежной дверью.
Вообще архаичные практики полезны. «В России дверь может вас реально спасти, — советует Ксения. — Например, перевести из уголовки в административку. Или от десяти лет к двум годам. Потому что, если у вас деревянная дверь, у вас минута. А если у вас хорошая стальная дверь, у вас 10–15–20 минут, и за это время вы успеваете очень много».
Давайте проверим вас на птицах и арт-шарадах художника Егора Кошелева
11 марта 2022
14:52COLTA.RU заблокирована в России
3 марта 2022
17:48«Дождь» временно прекращает вещание
17:18Союз журналистов Карелии пожаловался на Роскомнадзор в Генпрокуратуру
16:32Сергей Абашин вышел из Ассоциации этнологов и антропологов России
15:36Генпрокуратура назвала экстремизмом участие в антивоенных митингах
Все новости